随着信创产业的逐步普及,很多小伙伴在渗透实战时会越来越多的遇到国产化数据库,如达梦、人大金仓等。如果使用该类数据库的站点存在sql注入漏洞,用sqlmap等工具无法支持我们直接得到想要的数据,我们需要理解这些数据库的语法才能更好的进行手工注入。本文总结了一些达梦数据库的手工注入技巧,欢迎大家收藏转发。
默认安装的达梦数据库存在下面两个用户,密码与用户名相同,注意大小写
SYSDBA/SYSDBA
SYSAUDITOR/SYSAUDITOR
默认端口:5236
默认服务名:DmServiceDMSERVER
远程:达梦数据库默认支持远程连接,只要网络可达,就可以连接成功。并没有类似mysql的只允许localhost连接的特性。
SQL语句 |
语法 |
效果 |
>通过查询系统表来手工注入
>通过查询视图来手工注入
达梦是一套优秀的国产化关系型数据库,目前在信创领域拥有大量的用户,其遵循SQL语言标准规范,从语法上来说和mysql和mssql都不太一样。
阅读 10万+
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论